Shiro 安全权限管理框架xml式开发

最新推荐文章于 2024-06-12 23:54:04 发布
最新推荐文章于 2024-06-12 23:54:04 发布
阅读量42 收藏
点赞数
分类专栏: shiro权限管理 文章标签: spring mvc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74897528/article/details/132135561
版权

框架模型原理

Subject: 主体,即“当前操作用户”。这个用户不一定是一个具体的人,与当前应用交互的任何东西都是 Subject。即一个抽象概念;所有 Subject 都绑定到 SecurityManager。

SecurityManager:安全管理器,用于管理Subject 拿到其给到Realm 在Realm中进行用户的认证与授权,可以看出它是 Shiro 的核心,它负责与后边介绍的其他组件进行交互,与Spring-Security的安全上下文相似。

Realm:领域,充当Shiro与应用程序的安全数据之间的“桥梁”或“连接器。与数据层的安全数据交互实现认证与授权。

代码实现

1.引入相关依赖

<!--rbac框架 shiro-->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-all</artifactId>
    <version>1.7.1</version>
    <type>pom</type>
</dependency>

2.在applicationcContext.xml中加入

<!-- 注册自定义realm-->
 <bean id="rbacRealm" class="com.ssm.shiro.RBACRealm">
     <!--定义的MD5加密算法-->
     <property name="credentialsMatcher" >
         <bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
             <!--加密算法-->
             <property name="hashAlgorithmName" value="MD5"/>
             <!--加密次数-->
             <property name="hashIterations" value="1024"/>
         </bean>
     </property>
 </bean>
 

 <!--shiro rbac 基于角色的权限控制-->
<!-- <bean class="org.apache.shiro.spring.web.ShiroFilterFactoryBean" id="shiroFilter">  这是原生自带的ShiroFilterFactoryBean 下面是重新定义的-->
 <bean class="com.ssm.shiro.FilterFactoryBean" id="shiroFilter">
     <!--注册安全管理器-->
     <property name="securityManager" ref="securityManager"/>
     <!-- 注入当前系统的登录页面 -->
     <property name="loginUrl" value="/page/login.jsp"/>
     <!-- 注入成功页面 -->
     <property name="successUrl" value="/page/main.jsp"/>
     <!-- 注入权限不足提示页面 -->
     <property name="unauthorizedUrl" value="/page/403.jsp"/>
     <!-- 注入URL拦截规则 -->
     <property name="filterChainDefinitions">
     <value>
         /css/** = anon
         /img/** = anon
         /js/** = anon
         /plugins/** = anon
         /login.jsp* = anon
         /user/login.pp = anon
         /user/logout.pp =logout
       <!--  /product/* = perms["product"]
         /* = authc -->
     </value>
 </property>
     <property name="filters">
         <map>
             <entry key="logout" value-ref="logoutFilter"/>
         </map>
     </property>
 </bean>

 <!--配置注销过滤器-->
 <bean id="logoutFilter" class="org.apache.shiro.web.filter.authc.LogoutFilter">
     <property name="redirectUrl" value="/page/login.jsp"/>
 </bean>

 <!-- 配置 shiro 的核心组件:securityManager -->
 <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
     <!-- 配置域realm,用户名,密码,角色都保存在域里:实现从数据库中获取用户信息,
     需要我们自己创建一个类(实现Realm接口) -->
     <property name="realm" ref="rbacRealm"/>
 </bean>

3定义一个2中的Realm和FilterFacoryBean

package com.ssm.shiro;

import com.ssm.dao.UsersMapper;
import com.ssm.pojo.Permission;
import com.ssm.pojo.Role;
import com.ssm.pojo.Users;
import com.ssm.pojo.UsersExample;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;
import org.springframework.beans.factory.annotation.Autowired;

import java.util.List;
import java.util.Set;

public class RBACRealm extends AuthorizingRealm {
    @Autowired
    private UsersMapper usersMapper;

    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("开始");
        SimpleAuthorizationInfo sa=new SimpleAuthorizationInfo();
        Users primaryPrincipal =(Users) principalCollection.getPrimaryPrincipal();
        Set<Role> roleSet = primaryPrincipal.getRoleSet();
        if(roleSet!=null) {
            roleSet.forEach(role -> {
                sa.addRole(role.getRoleName());
                Set<Permission> permissionSet = role.getPermissionSet();
                permissionSet.forEach(permission -> {
                    sa.addStringPermission(permission.getUrl());
                });
            });
        }
        return sa;
    }
                    //认证
            @Override
            protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
//从Subject拿到用户登录的信息
                UsernamePasswordToken upToken=(UsernamePasswordToken)authenticationToken;

                UsersExample usersExample= new UsersExample();
                usersExample.createCriteria().andEmailEqualTo(upToken.getUsername());
                List<Users> users = usersMapper.selectByExample(usersExample);
                //数据库中查到的信息
                Users user=users.size()==1?users.get(0):null;
                if(user!=null){
                    //密码已加密
                    String pd=user.getPassword();

                    ByteSource bytes = ByteSource.Util.bytes(upToken.getUsername());
                     //返回这个对象让shiro帮我们完成认证
                    return new SimpleAuthenticationInfo(user,pd,bytes,this.getClass().getSimpleName());
        }
        return null;
    }
}

package com.ssm.shiro;

import com.ssm.dao.PermissionMapper;
import com.ssm.pojo.Permission;
import org.apache.shiro.config.Ini;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.util.CollectionUtils;
import org.apache.shiro.web.config.IniFilterChainResolverFactory;
import org.springframework.beans.factory.annotation.Autowired;

import java.util.HashMap;
import java.util.List;
import java.util.Map;

public class FilterFactoryBean extends ShiroFilterFactoryBean {

    @Autowired
    private PermissionMapper permissionMapper;

    @Override
    public void setFilterChainDefinitions(String definitions) {
        List<Permission> permissions = permissionMapper.selectByExample(null);
        Map<String,String> otherChains= new HashMap<>();

        permissions.forEach(permission->{
            otherChains.put(permission.getUrl(),"perms["+permission.getPermissionCode()+"]");
        });

        //从配置文件加载权限配置
        Ini ini = new Ini();
        ini.load(definitions);
        Ini.Section section = ini.getSection(IniFilterChainResolverFactory.URLS);

        if (CollectionUtils.isEmpty(section)) {
            section = ini.getSection(Ini.DEFAULT_SECTION_NAME);
        }
        section.putAll(otherChains);
        //section.put("/**","authc");
        section.put("/**","user");
        setFilterChainDefinitionMap(section);
    }
}

4在用户登录的接口中的实现

Subject subject = SecurityUtils.getSubject();//默认为未认证状态
UsernamePasswordToken token= new UsernamePasswordToken(users.getEmail(),users.getPassword());

if(users!=null&&("on").equals(remember)){
    token.setRememberMe(true);
}

try {
    subject.login(token);
} catch (AuthenticationException e) {
    e.printStackTrace();
    return "login";
}catch (Exception e){
    e.printStackTrace();
    return "login";
}
//认证成功
Users user =(Users) subject.getPrincipal();
//查询用户身上携带的角色和权限
Users u1=userService.getWithRolePermission(user.getId());
user.setRoleSet(u1.getRoleSet());
data_area
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Shiro(二):Shiro 认证(xml配置
12程序猿的博客
10-12 551
Shiro 认证 目录一、相关概念二、Shiro 认证流程三、实现认证流程1.创建表单页面2.编写ShiroHandlerController 类3.实现Realm四、测试 一、相关概念 二、Shiro 认证流程 shiro认证流程: 1.获取当前的Subject。调用SecurityUtils.getSubject()方法; 2.测试当前的用户是否已经被认证。即是否已经登录。调用Subject的isAuthenticated()方法; 3.若没有被认证,则把用户名和密码封装为UsernamePasswo
Spring Boot 2.0.4 & Shiro1.4.0 权限管理系统
03-08
安全框架采用时下流行的Apache Shiro,可实现对按钮级别的权限控制;前端页面使用Bootstrap构建,主题风格为时下Google最新设计语言Material Design,并提供多套配色以供选择。FEBS意指:Fast,Easy use,Beautiful...
spring+shiro 配置使用(完整代码篇)
shaking的博客
09-07 2142
web安全框架shiro相比spring security,更轻量级,配置简单易懂,小巧灵活,功能强大,和spring完美结合,shiro上手超级简单,一看就懂,但如果需求较为复杂,仍需要细细研究其中原理,灵活配置。本人才疏学浅,本文仅涉及登录验证,动态权限验证,后面有机会再慢慢研究。引入Shiro的Maven依赖<dependency> <groupId>org.apache.shiro
Shiro权限管理框架详解
m0_67394230的博客
04-22 2935
1权限管理1.1什么是权限管理 基本上涉及到用户参与的系统都要进行权限管理权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 1.2用户身份认证1.2.1概念 身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方是系统通过核对用户输入的用户名和口令,看其是否与系
Shiro权限管理框架(Java安全框架)基础
Lemon
11-28 943
一、Shiro 简介 1、关于 Shiro Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 官网:https://shiro.apache.org/ 2、Shiro 主要功能 Authentication:身份认证/登录,验...
SpringBoot集成Shiro权限管理框架
liuerpeng1904的博客
10-11 468
*** 自定义Realm用于查询用户的角色和权限信息并保存到权限管理器:/*** @Description 权限配置类//获取登录用户名 String name =(String) principalCollection . getPrimaryPrincipal();//查询用户名称 User user = MySqlTool . getUser(name);
Shiro权限安全框架的使用
gdxdekx的博客
10-19 1214
该方法只是获取进行对比的信息,认证逻辑还是按照Shiro底层认证逻辑完成需要通过配置使自定义的realm生效,目前在ini文件中配置,之后在springboot中配置
shiro框架实现权限管理
m0_67402096的博客
04-07 1931
在进行权限管理前,我们经常遇到的问题便是有些页面你直接用url就可以访问,不管你登录没登录,还有就是你在页面中跳转的时候你无法批判你是否有这个权限使用,当然这个时候大部分人所想的是在访问前判断一下用户有没有这个权限,当然这也是一种方法,但是,这种解决方需要在我们测试好的代码上动刀,不仅凭空增加了工作量,而且大大增加了代码的风险,这里我大致讲解一下 shiro这个安全框架,我们用它来弄权限管理 权限管理1.1 什么是权限管理 基本上涉及到用户参与的系统都要进行权限管理权限管理属于系统安全的范畴,权限管理
shiro权限框架
欢迎来到编程小栈
04-20 2250
文章目录Shiro架构与功能介绍1.认证与授权相关基本概念2.Shiro四大核心功能3.Shiro三个核心组件spring securityshiro的区别相同点:不同点:第一章 权限概述1、什么是权限2、认证概念【1】什么是认证【2】认证流程【3】关键对象3、授权概念【1】什么是授权【2】授权流程【3】关键对象第二章 Shiro概述1、Shiro简介【1】什么是Shiro?【2】Shiro 的特点2、核心组件第三章 Shiro入门1.1什么是shiro1.2shiro功能简介2.1外部来看Shiro2
Shiro安全框架
yuanchun的知识整理
08-27 1512
shiro 安全框架
一个Java的权限框架-Shiro
奔走的王木木Sir的博客
06-14 3266
Shiro可以做什么?可以完成认证、授权、加密、会话管理等
基于Extjs4和Shiro的Java权限管理框架设计源码
04-04
本设计源码提供了一个基于Extjs4和Shiro的Java权限管理框架。项目包含2062个文件,主要使用JavaScript、Java和CSS编程语言。文件类型包括1598个GIF图片文件、281个PNG图片文件、50个JavaScript脚本文件、44个Java源...
基于SpringSpring MVC、MiniJdbc和Shiro权限管理系统LarvaFrame设计源码
04-23
本项目是基于SpringSpring MVC、MiniJdbc和Shiro开发权限管理系统LarvaFrame设计源码,包含436个文件,其中包括145个Java源文件,92个JavaScript文件,30个PNG图片,30个CSS样文件,27个GIF图片,24个XML文件...
基于SpringBoot开发的轻量级Java快速开发框架
10-14
基于SpringBoot的权限管理系统 易读易懂、界面简洁美观。 核心技术采用Spring、MyBatis、Shiro没有任何其它重度依赖。直接运行即可用。用户是系统操作者,该功能主要完成系统用户配置配置系统组织机构(公司、部门...
【JeeSpringCloud v3.2.4】后台权限管理系统+互联网云快速开发框架+微服务分布代码生成.zip
04-18
代码生成前端界面、底层代码(spring mvc、mybatis、Spring boot、Spring Cloud、微服务的生成)、安全框架、视图框架、服务端验证、任务调度、持久层框架、数据库连接池、缓存框架、日志管理、IM等核心技术。...
Spring Security实现用户认证四:使用JWT与Redis实现无状态认证
不做菜虚困的博客
06-12 657
在基本的通信流程中,我们一般采用Session去存储用户的认证状态。在Spring Security实现用户认证三中讲过,在拿到前端传输过来的用户名和密码之后,会有专门的过滤器处理这部分的需求,并且对认证成功的用户生成Token且存储在Session中。在下次发起请求时,直接从Session中取出同用户名的token进行密码哈希的比较要认证用户。对于无状态认证,则我们的认证不依赖与服务器端存储的Session的状态。所以无状态认证需要我们每次从前端传输一个包含完整认证信息的Token到服务器端进行自定义的认
graalvm编译springboot3 native应用
最新发布
fengchengwu2012的博客
06-12 535
云原生时代容器先行,为了更好的拥抱云原生,spring boot3之后,推出了graalvm编译boot项目,利用jvm的AOT( Ahead Of Time )运行前编译技术,可以将javay源码直接构建成机器码二进制的文件,无需jdk静态编译为class字节码,运行时jre解释执行,这样就无需依赖java环境运行,部署到容器中可以直接启动运行。
springboot与flowable(2):流程部署
游王子的博客
06-10 276
选择建模器应用程序选择要导出的建模点击导出按钮。将导出的文件复制到项目中。
Spring AI 第三讲Embeddings(嵌入) Model API 第一讲OpenAI 嵌入
qq_25137131的博客
06-09 811
Spring AI 支持 OpenAI 的文本嵌入模型。OpenAI 的文本嵌入测量文本字符串的相关性。嵌入是一个浮点数向量(列表)。两个向量之间的距离可以衡量它们之间的相关性。距离小表示关联度高,距离大表示关联度低。
springboot集成shiro权限管理
07-08
总之,使用Spring Boot集成Shiro权限管理可以方便地实现应用程序的安全认证和授权功能。通过配置Shiro的相关属性和自定义Realm类,可以实现灵活的权限管理,保护应用程序的安全。 ### 回答3: Spring Boot集成...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值